現代經濟成長由效率導向(Efficiency-driven)、創新導向(Innovation-driven),逐漸轉移到資料導向(Data-driven)。數位經濟、線上交易行為日益頻繁,數位資料累積速率呈指數函數倍增,個體資料(Individual data)由一國傳輸到另一國的情形愈來愈多,如何保障個體隱私(Individual privacy)的安全性,成為發展數位經濟的重要課題。
GDPR的基礎是人權
歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)引用《歐洲保障人權和基本自由公約》(Convention for the Protection of Human Rights and Fundamental Freedoms)第八條第一款規定:「Everyone has the right to respect for his private and family life, his home and his correspondence」,陳明每個人的「私人及家庭生活、其家庭以及其通訊隱私」的權利與自由必須受到尊重。GDPR植基於人權,試圖將個人資料的使用權、控制權重新交回個體(Individuals)手上,以保障個人資料的安全。
GDPR保障的雖然是歐洲人的隱私權,不過,因為歐盟為世界第二大市場,與歐盟有商業往來的企業遍布全球每個角落,加上數位經濟快速成長,數位資訊容易跨境傳輸的特性,與歐盟經濟連結性愈高的國家,受GDPR的影響愈大。Greenleaf (2012)研究了歐盟以外擁有個資法的39個國家,其中33國已經在其國內個資法納入了歐盟個資法十條新條款裡的七條。Greenleaf (2018)為了進一步突顯歐盟個資法的標準已有成為「全球標準」(Global standard)的趨勢,選擇了全球GDP前20大國家,研究其國內個資法納入歐盟個資法的情形,研究結果顯示20個國家採用了6/10之歐盟個資法新條款。台灣跟加拿大一樣採用了七條,高於20國的平均值,也高過紐西蘭、澳洲、香港、日本與新加坡,顯示台灣《個人資料保護法》與歐盟GDPR新條款的精神之間已經有了很好的整合。
長期效應
資料跨境流通跟貨品藉海、空跨國運輸有相通之處,當流通的數量日趨龐大時,安全性變得更加重要。若世界各國對個資保護的標準與歐盟看齊,並由歐盟認可其保護水準具適足性(Adequacy decision),於是各國共用同一標準保障個體隱私,對於提升個資在全球跨境流通的安全性具有很大的幫助。若果真如此,歐盟GDPR等於是為全球個資保護樹立一個標準更高、更安全,並且是各國願意共同採用的準則,長期而言能夠有效促進資訊跨國高速流通。
同時,各國若成功爭取到歐盟GDPR適足性認可,將能夠無障礙地與歐盟進行雙向資料流通,產生類似於簽署自由貿易協定(Free Trade Agreement, FTA)的效果,亦即擴大兩區域間、資料經濟(Data economy)之市場,甚至形成以資訊流通為主的軸輻系統(Hub-and-Spoke System)。2018年7月17日簽署之「歐日經濟夥伴協定」(EU-Japan Economic Partnership Agreement),其意義不僅在促進商品、服務的貿易與投資,對於歐盟與日本兩經濟體未來在資訊雙向自由流通方面的貢獻,亦提供一個非常好的觀察、追蹤與研究範本。
企業的短期行為
雖然長期而言GDPR對跨境資料流通具有正面促進的作用,短期來看,某些國家可能將其視為非關稅貿易障礙的新物種。例如法務部在比對我國《個人資料保護法》之後,認為GDPR之規範對於台灣電子商務產業、對外貿易之企業將大幅提升其法規遵行成本,甚至形成貿易障礙。美國也有類似的看法,Burri and Schar (2016)認為GDPR可能妨礙創新、提高美國企業法遵成本,不僅不符合效率原則,也不如市場力量及科技本身來得具有永續性。其中,企業對經營成本增加的顧慮,似乎是最為立即的。
例如,洛杉磯時報(Los Angeles Times)在GDPR實施之後,即停止對歐洲人提供免費瀏覽的服務,以規避GDPR可能的罰則與法遵成本。新聞網站及社交網站(Social media)的獲利來源之一是透過第三方內容小型文字檔案(Cookies)瀏覽人次的累積,GDPR實施之前,發送Cookies並不需要受眾(Audience)同意,各網站自由度很高,可以依利潤極大化原則處理。GDPR實施之後,對這些行為是否產生約制作用?
T. Libert等(2018)比對了GDPR在2018年5月正式實施前後,歐盟各國之網頁發送第三方內容Cookies數量上的變化,以檢視GDPR對資訊流通是否有負面的影響。研究發現各國網頁在GDPR實施之後,使用第三方內容Cookies的數量均有減少的趨勢,雖然各國之間存在明顯之差異,其中以英國減少的比率最高,達45%。歐洲國家平均減少的比率是22%。有趣的是,從公司所屬國籍的角度來看,經歷第三方內容Cookies減少最嚴重的公司都來自美國,例如Google、Facebook、Amazon、Oath等。
確保台灣的競爭優勢
Facebook將大量資料從愛爾蘭移到美國,最終仍難逃被歐盟起訴的例子,說明GDPR確實加重了資料控制者(Controllers)及使用者(Processors)保護個資的責任。本來個人要求網站業者修改或刪除其個人資料,是一件耗時耗力的事情。現在GDPR把這項耗時耗力的工作及相應的成本轉嫁給企業,個人可以更輕易的更改、刪除、移動其個人資訊,以提升個人資料的安全性;另一方面,也有助於提升個體對網路交易及網站業者的信任,加速資訊在網路世界的跨境流通。
雖然,短期而言GDPR確實會增加企業法遵成本,特別是我國尚未取得歐盟GDPR適足性認可之前,台灣企業在使用歐洲個資方面,需要付出額外的成本從事教育訓練、修訂內部法規、從事網路安全建置、設立「資料保護長」(Data Protection Officer)及相關機制等,以避免誤踩紅線,付出巨額賠償金。
不過,若將眼光放遠,在美國、加拿大、日本、韓國及其他60多個歐盟以外的國家,都向歐盟GDPR看齊之下,歐盟設立的標準正在逐漸成為全球的標準。換句話說,遵循GDPR是一個正在進行中的未來事件。從這個角度來看,台灣自應盡全力取得歐盟對我國《個人資料保護法》適足性的認可,而且愈快愈好。過去30年台灣產業有過度倚賴中國的傾向,這個傾向讓台灣企業在美中貿易戰當中受到波及,加上紅色供應鏈在全球不斷侵蝕台商的利潤及市場份額。目前中國對於人權、自由以及個人資料保護的價值觀跟全球普世價值仍有落差的情況下,我國與世界融合得愈緊密,愈足以確保台灣在下一個世代數位經濟領域的競爭優勢。著眼華人市場、亞太地區如此,以全球為規模及高度的戰略思維,亦復如此。